오늘날에는 눈에 보이지 않는 데이터를 사고파는 일이 많습니다. 그 이유는 결국 데이터가 곧 정보를 담고 있기 때문인데요. 그러나 정보를 보호하고 유출을 방지하는 일이 얼마나 중요한 일인지 실감하지 못하는 경우도 많습니다. 정보를 지키는 ‘정보 보안’, 실제로 얼마나 중요할까요?
디지털 시대, 정보를 지켜라
요즘 스마트폰을 사용하지 않는 사람은 거의 없습니다. 영국의 통신 관련 산업 단체인 GSMA에 따르면 2022년 기준 전 세계 스마트폰 보급률은 76%에 달한다고 하는데요. 그러다 보니 이제는 스마트폰이 없는 일상을 상상하기 어렵다는 말도 있습니다. 스마트폰으로 타인과 교류하고, 일을 하고, 여가를 보내는 등 거의 모든 일상적인 활동에 스마트폰이 사용되는데요. 그래서 ‘스마트폰을 마치 신체의 일부처럼 사용하는 새로운 인류’라는 의미의 ‘포노 사피엔스(Phono Sapiens)’라는 용어도 등장했습니다.
그런데 포노 사피엔스로 살아간다는 건 결국 스마트폰 속에 나의 개인정보를 가득 담는다는 것과 같은 의미입니다. 개인 간의 대화부터 중요한 업무상의 서류, 계좌 비밀번호 등 온갖 중요한 정보가 스마트폰 속 디지털 데이터로 보관되는데요. 또, 항상 스마트폰을 통해 네트워크에 연결되어 많은 개인 정보를 주고받습니다. 나아가 자신의 다양한 정보를 SNS 등을 통해 스스로 네트워크에 공유하기도 합니다.
이렇게 개인의 거의 모든 정보가 디지털화되며, 그 정보를 네트워크로 주고받는 시대인 만큼 정보 보안의 중요성은 나날이 커지고 있습니다. 스마트폰 하나만 해킹하더라도 한 사람의 중요 정보를 모두 취득할 수 있어 관련 범죄도 기승을 부리는데요. 이메일이나 문자를 통해 링크를 발송하고, 그 링크에 접속하는 스마트폰을 해킹하여 그 정보를 활용해 돈을 갈취하는 피싱(phishing) 범죄가 대표적입니다.
기업 역시 마찬가지입니다. IBM 시큐리티에 따르면 2022년 전 세계 기업이 데이터 유출로 인해 평균 435만 달러의 손실을 기록했다고 하는데요. 한국 기업 역시 2022년 약 43억 3,400만 원 상당의 사상 최대 피해액을 기록했습니다. 이는 2018년부터 꾸준히 증가한 수치로 사상 최대입니다. 실제로 기업들이 정보 유출로 인한 심각한 피해로 경험하고 있는 것입니다.
해킹 vs 정보 보안, 현재와 미래는?
초창기의 해킹은 단순했습니다. 핵심 정보를 빼내기 위해 사람이 직접 그 데이터가 저장된 기기에 접근하는 방식이었는데요. IT가 발전하고 네트워크가 활성화되는 등 디지털 환경이 변화하면서 오늘날에는 점점 더 고도화된 방식의 해킹이 등장하고 있습니다.
특히 2020년대 들어 해킹과 정보 보안, 양쪽 모두에 관심을 받는 대표적인 기술이 바로 인공지능과 머신러닝입니다. 해외에서는 인공지능으로 목소리를 만드는 기술인 딥보이스를 활용한 보이스피싱 범죄가 이미 등장한 바 있습니다. 또, 챗GPT 등 생성 AI 기술을 접목해 사실감 있는 피싱 문구를 전송하거나 특정한 사람의 모습을 똑같이 구현하는 딥페이크를 만들기도 합니다.
물론 그에 따라 정보 보안 기술 역시 발전했는데요. ATM 앞에서 이상 행동을 보이는 사람을 포착해 자동으로 보이스피싱 주의 문구를 표시하는 인공지능이 개발되기도 했습니다. 또, 평소와는 다른 패턴의 통장 거래가 발생했을 때 AI가 탐지해 추가 거래를 차단하거나 경고하는 시스템도 이미 활용되고 있습니다. 이렇게 인공지능과 머신러닝을 활용한 정보 보안 기술은 사이버 공격을 탐지한 후에 대응하는 데서 한 걸음 더 나아가 미리 공격을 예방하고 공격 시도를 방해하기도 합니다.
그
렇다면 앞으로 미래의 정보 보안 기술은 어떻게 발전할까요? 미국의 IT 분야 시장조사 및 컨설팅 회사인 가트너(Gartner)가 발표한 ‘2023년 9가지 주요 사이버보안 트렌드’를 통해 짐작해 볼 수 있습니다.
(1) ‘사람 중심적 보안 설계’: 사이버보안 사고를 줄이기 위해서는 직원 경험(employee experience)을 우선시하여, 기존의 보안 프로그램을 사용하면서 직원이 실수로 안전하지 않은 행동을 하게 되는 것을 막을 수 있도록 제어와 관리 시스템 전반을 바꾸어야 한다.
(2) ‘보안 프로그램 지속 가능성을 위한 인력 관리 강화’: 보안 프로그램과 기술 및 프로세스 개선보다는 인재의 확보와 유지를 위한 전략으로 초점이 이동할 것이다.
(3) ‘가치 창출 지원을 위한 사이버보안 운영 모델 혁신’: 사이버보안과 관련된 기술 업무가 점차 다양한 역할을 하는 각 부서로 이동할 것이며, 이에 맞게 사이버 보안 운영 모델이 바뀌어야 한다.
(4) ‘위협 노출 관리’: 기업이 어떤 보안 위협에 노출되었는지 관리하는 프로그램을 구현하여 위협을 평가하는 방식을 발전시켜야 한다.
(5) ‘ID 패브릭 면역성’: 취약한 ID 인프라를 개선하는 ID 패브릭 면역 원칙으로 해킹으로 인한 재정적인 영향이 크게 줄어들 것이다.
(6) ‘사이버 보안 검증’: 앞으로 잠재적 공격자가 식별된 위협 노출을 어떻게 악용하는지 입증하기 위한 기술이나 프로세스 및 도구가 통합될 것이다.
(7) ‘사이버보안 플랫폼 통합’: 사이버보안 통합 플랫폼이 떠오르고 있으며 이를 통해 각 기업이 불필요한 부분을 줄여야 한다.
(8) ‘컴포저블(composable) 비즈니스를 위한 컴포저블 보안’: 모듈화된 기능 구축으로 가속화하는 비즈니스 변화 속도에 대응해야 한다.
(9) ‘사이버보안 감독에 대한 이사회 역량 확대’: 이사회 구성원에게 사이버보안에 대한 명시적 책임을 부여하는 추세가 이어지며 사이버보안에 대한 이사회의 관심이 높아졌으며, 앞으로 사이버보안 담당자는 이사회가 사이버보안 의사 결정에 적극 관여하고 참여하도록 장려해야 한다.
가트너가 발표한 9가지 트렌드는 ID 패브릭 면역성 등 일부 기술적 내용을 제외하면 대부분 보안 기술 그 자체뿐만 아니라 ‘사람’에 초점을 맞추었다는 점이 특징입니다. 앞으로 사이버 보안에서 실패를 줄이기 위해서는 무엇보다 인재 관리와 커뮤니케이션 등 사람에 대한 적절한 관리 프로세스를 만드는 것이 중요하다는 의미입니다.
LX인터내셔널의 정보 보안은?
LX인터내셔널은 지난 2015년부터 이미 외부 전문기관의 컨설팅과 점검으로 자체적인 정보 보호 관리 체계를 만들어왔습니다. 또, 정보통신망법 및 개인정보보호법의 법률 개정에 따라 기존 정보보안 지침 역시 끊임없이 개선해 왔는데요. 특히 IT 시스템의 발달로 클라우딩 컴퓨터 서비스와 모바일 오피스 이용이 활발해지며 이에 맞는 보안 설정 지침을 마련하고, 운영 기준 역시 대폭 강화했습니다.
특히 최근에는 국제적인 인증을 획득하면서 LX인터내셔널이 제품, 서비스, 시장 동향 등 고객사에 관한 중요 정보를 안전하고 체계적으로 관리한다는 사실을 객관적으로 인정받기도 했는데요. LX인터내셔널은 올해 1월부터 약 4개월간 보안 위험 평가 및 보안 지침 재정비를 통해 철저한 준비와 평가를 거쳐 영국표준협회(BSI)로부터 ISO 27001 인증을 획득했습니다. ISO 27001은 정보 보호 관리 체계에 관한 국제 표준으로, 이 분야에서 가장 권위 있는 국제 인증이라고 평가받습니다.
LX인터내셔널은 앞으로도 정보 보호 관리 체계를 지속해서 보완 및 개선하여 고도화해 고객사의 소중한 정보를 안전하게 지킬 수 있는 환경을 제공할 것입니다.
모든 정보가 디지털로 보관되는 오늘날, 정보를 지키기 위해서는 사이버보안이 가장 중요한 문제일 수밖에 없는데요. 그러나 사이버보안에 대한 위협은 눈에 직접적으로 보이지 않다 보니 자칫 소홀하게 대비하기 쉽습니다. 기업이든 개인이든, 다양한 디지털 기술을 올바르고 안전하게 활용하기 위해서는 꼭 정보 보안에 신경 써야 한다는 사실을 잊어서는 안 될 것입니다.
Hits: 1577
댓글쓰기